Storicamente, le aziende sono state riluttanti a migrare applicazioni e dati nel cloud a causa di problemi di sicurezza.
Tuttavia, quando si indaga più a fondo e si chiede dove vengono archiviate le e-mail, i documenti, le foto, i dati delle conversazioni chat, la risposta è quasi universalmente: “nel cloud”.
Cloud è sicuramente diventata una parola all’ordine del giorno: secondo Gartner, entro il 2022 fino al 60% delle aziende utilizzerà l’offerta di servizi in cloud.
Tuttavia, ci sono ancora molti scettici sul cloud che si chiedono se tutti coloro che li hanno preceduti siano su un sentiero minato…dal punto di vista della sicurezza.
Crediamo che gli scettici possano stare tranquilli. I fornitori di servizi cloud (CSP) sanno che la loro redditività e reputazione dipendono dalla loro capacità di mantenere la sicurezza dei dati dei clienti. Pertanto, la sicurezza è al centro di tutti i CSP e ognuno di loro ha effettuato investimenti significativi nella sicurezza fisica e non.
“Ma i miei dati sono più al sicuro nel mio ufficio o nella stanza dei server qui accanto…”
Uno dei motivi per cui alcuni di noi hanno difficoltà ad affidarsi al cloud è che abbiamo una certa sensazione di serenità quando i nostri dati sono fisicamente vicini. Riteniamo che se i dati si trovano fisicamente vicini a noi, siano in qualche modo più sicuri.
La realtà è che la posizione fisica dei dati ha davvero poco a che fare con la loro sicurezza. Ciò che influisce maggiormente sulla sicurezza è l’accesso e il controllo. Se siamo onesti con noi stessi, quante volte abbiamo visto usare il pc in cui sono custoditi i nostri dati e archivi del gestionale da persone non autorizzate? Quante volte una persona estranea è passata vicino al computer o server che contiene tutti i dati aziendali? Quante volte abbiamo cambiato la password del pc, del NAS? Quante volte ci siamo dimenticati di aggiornare o rinnovare l’antivirus? Quante volte abbiamo disabilitato il firewall o altri meccanismi di sicurezza perché ci infastidivano durante l’uso del computer?
Abbiamo la tendenza umana a sentirci a nostro agio nel nostro ambiente, ma quando ci sentiamo a nostro agio diventiamo compiacenti. Questo è il motivo per cui le società di cyber security trovano regolarmente falle nei sistemi on premise (presso la sede del cliente).
Ecco cinque motivi per cui i tuoi dati potrebbero essere più sicuri nel cloud.
Motivo n. 1: accesso fisico
A differenza della maggior parte degli ambienti in cui tutti abbiamo lavorato, i CSP hanno standard incredibili per i controlli degli accessi fisici. Se non ci credi, dai un’occhiata ad alcuni dei tour del data center pubblicati su YouTube .
I CSP hanno diversi strati di sicurezza, iniziando con un accesso molto limitato ai luoghi in cui sono archiviati i dati dei clienti. I dipendenti autorizzati devono passare attraverso cancelli e recinzioni di sicurezza, guardie e telecamere di sorveglianza. Gli edifici sono progettati con punti di ingresso e uscita limitati e sono inoltre dotati di scanner biometrici. Inoltre, ogni volta che un dipendente deve eseguire qualsiasi tipo di manutenzione all’interno del data center, il lavoro viene rigorosamente controllato. Questi dipendenti devono persino avere hardware e chip proprietari nei loro badge o altri dispositivi per essere autenticati e autorizzati all’interno del data center.
Se in qualche modo un malintenzionato dovesse riuscire a superare tutti questi controlli ed entrare nel data center – cosa piuttosto improbabile – i tuoi dati sarebbero comunque protetti da ulteriori livelli di sicurezza. I CSP proteggono i tuoi dati con anonimato, crittografia e replica. Oltre a utilizzare diversi livelli di crittografia per i dati inattivi (AES256 o AES128), i CSP distribuiscono anche i dati di ciascun cliente su più server.
Ad esempio, in alcuni casi i dati invece di essere salvati su un solo server, vengono distribuiti su più server in location differenti in modo da aumentare l’affidabilità e rendendoli illeggibili all’occhio umano.
Nessuno di noi è in grado di raggiungere questo livello di sicurezza, data l’enorme quantità di risorse necessarie per farlo, come immobili, personale e tecnologia.
Motivo n. 2: resilienza
Un aspetto importante della sicurezza fisica dei dati che spesso viene trascurato è la resilienza. Quando dico resilienza, intendo che quando archivi i dati da qualche parte, ti aspetti che quando ne avrai di nuovo bisogno, saranno ancora lì come li hai lasciati. I CSP sanno che i dati aziendali sono spesso mission-critical, quindi investono risorse per offrire ai propri clienti un’affidabilità costante.
Gli oggetti vengono archiviati in modo ridondante su più dispositivi in più strutture dai CSP, senza richiedere alcuna interazione da parte del cliente. Ad esempio, Amazon Web Services (AWS) afferma di progettare la propria ridondanza per Amazon S3 per sostenere la perdita simultanea di dati in due strutture. Che affidabilità rappresenta? Nell’ultimo mese, secondo Cloud Harmony, Amazon S3 ha avuto una disponibilità del 100% in tutte le 18 regioni del mondo con zero minuti di inattività registrati. Google Cloud Storage ha riportato un totale di 3,88 minuti di inattività da due delle loro 26 regioni e Microsoft Azure Cloud Storage ha riportato un totale di 48,13 minuti da una sola delle 36 regioni. Poiché nessuno dei CSP ha segnalato più interruzioni simultanee del data center, la maggior parte degli utenti non si è accorto di alcuna interruzione e non vi è stata alcuna perdita di dati.
I tuoi consulenti informatici o il tuo reparto IT possono garantire che avrai il 100% di disponibilità e affidabilità? Non credo proprio!
Un’analisi del panorama Italiano mostra come la sicurezza del dato sia un argomento scottante. Molte aziende, specie in alcuni settori, non hanno ancora acquisito completa consapevolezza dei rischi, nè tantomeno effettuato investimenti adeguati.
La maggior parte delle soluzioni di backup messe in campo nei centri ottici sono insufficienti (a volte del tutto mancanti).
La realtà è che i backup e gli archivi richiedono tempo per essere rimessi in produzione e probabilmente si verificherà una perdita di dati nel lasso di tempo che intercorre tra l’ultimo backup e il loro ripristino.
La ridondanza e gli array di dati offerti dai CSP consentono una continuità senza interruzioni in tempo reale. Inoltre, c’è la possibilità di avere ridondanza aggiuntiva in diversi regioni e paesi per far fronte ad eventi catastrofici come uragani, terremoti o altri disastri naturali. A meno che la tua azienda non sia già un’azienda globale con uffici in tutto il mondo, il tuo reparto IT probabilmente non potrà mai raggiungere questo livello di ridondanza.
Motivo n. 3: investimento significativo in materia di sicurezza
Nel determinare la sicurezza dei dati, spesso valutiamo due cose: accesso fisico e accesso virtuale. Ho menzionato alcuni motivi per cui i CSP possono fornire migliori controlli di accesso fisico, ma i CSP offrono anche maggiori controlli di accesso virtuale.
Secondo Microsoft , la società ha un “team di oltre 3.500 esperti globali di sicurezza informatica che lavorano insieme per salvaguardare le risorse e i dati aziendali in Azure”. Il loro team di sicurezza informatica da solo è più grande delle maggior parte delle aziende negli Stati Uniti. È un lusso per la maggior parte delle aziende avere due o tre persone nel proprio staff che si concentrano sulla sicurezza informatica. La realtà è che la maggior parte delle aziende non ha nemmeno un esperto informatico nel proprio organico. A volte ci si appoggia ad aziende esterne, saltuariamente, quando ci sono problemi. Sì, non sei l’unico che fa così 😬
Con tutte le competenze in materia di sicurezza informatica a loro disposizione, i CSP possono assicurarsi che funzionalità di sicurezza avanzate siano integrate in ogni prodotto e servizio per mantenere i dati protetti ad ogni livello. Questi team di sicurezza informatica includono ingegneri della sicurezza, architetti della sicurezza, analisti della sicurezza, team di risposta agli incidenti, data scientists, tester di penetrazione, ingegneri delle vulnerabilità, revisori del codice, revisori di controllo della qualità e conformità e team di sviluppo di funzionalità specializzati – e il loro unico obiettivo è fornire e migliorare la sicurezza.
Penso sia chiaro che nessuno di noi può permettersi un team di persone di questo tipo solo per badare alla sicurezza della nostra infrastruttura informatica.
Motivo n. 4: sviluppo dei migliori sistemi di controllo degli accessi
Grazie alla vasta esperienza in materia di sicurezza, i CSP hanno la capacità di sviluppare i migliori sistemi di autenticazione e controllo degli accessi. Ormai probabilmente hai visto il pulsante Accedi con Google su alcuni dei tuoi siti web preferiti e hai pensato: “È strano … questo non è nemmeno un sito web di Google”. O forse hai visto ” Accedi con Facebook ” o “Accedi con GitHub”. Certo, il sito in cui ti trovi potrebbe non essere di proprietà di Google o di altri, ma molte aziende si sono rese conto che è difficile rimanere costantemente aggiornati sugli ultimi attacchi contro i sistemi di autenticazione. La memorizzazione delle password è difficile e potenzialmente rischiosa. Tenere il passo con gli ultimi servizi multifattoriali è uno sprint costante ed oneroso. I CSP hanno le competenze e le risorse per rimanere al passo con tutte queste preoccupazioni e fornire i migliori sistemi di controllo.
Questi sistemi di controllo includono la gestione sicura di password e coppie di chiavi, servizi di autenticazione a più fattori, protezione da tentativi di accesso dannosi, controllo degli accessi basato sui ruoli, difese DDoS automatizzate, registrazione di audit e avvisi. Tutti questi sistemi sono strettamente integrati, testati e controllati dai CSP su base continua.
Ci vorrebbe un grande team di sviluppatori e ingegneri della sicurezza per iniziare a replicare questi sistemi di controllo in casa, e questo non tiene nemmeno conto della manutenzione e dei test aggiuntivi richiesti per supportare e convalidare questi sistemi.
Motivo n. 5: vulnerabilità e gestione delle patch
I CSP hanno interi team di persone dedite esclusivamente al rilevamento delle vulnerabilità e alla gestione delle patch. Questi team scansionano le vulnerabilità del software utilizzando una combinazione di strumenti disponibili in commercio appositamente progettati. Conducono inoltre test di penetrazione intensivi automatizzati e manuali, revisioni della sicurezza del software e controlli esterni. Questi team si dedicano alla ricerca delle vulnerabilità prima che lo facciano gli aggressori.
Per l’azienda media, il responsabile IT è lo scanner di vulnerabilità e il revisore e lei o lui svolge quel ruolo oltre a occuparsi di tutti gli altri compiti e responsabilità. Il responsabile IT potrebbe essere fortunato e avere dei fondi alla fine dell’anno da destinare a una valutazione di terze parti o a un penetration test. È quindi compito del responsabile IT assicurarsi che tutti i proprietari del sistema stiano seguendo le raccomandazioni e i suggerimenti forniti da fornitori di terze parti. La realtà è che questo tipo di lavoro può essere estenuante per i piccoli team: ecco perché tale attività rischia di essere trascurata.
Pensa a quante organizzazioni sono state vittime, nel maggio 2017, quando il ransomware WannaCry ha utilizzato la vulnerabilità EternalBlue per diffondersi. Microsoft ha annunciato la vulnerabilità il 14 marzo 2017 nel bollettino sulla sicurezza MS17-010; tuttavia, due mesi dopo, milioni di sistemi sono rimasti senza patch.
Protezione dei dati con il cloud giusto
Naturalmente, non tutti i fornitori di servizi cloud sono uguali. Mentre quasi tutti offrono una buona sicurezza sugli accessi fisici, non tutti hanno le risorse sufficienti per garantire investimenti in sviluppo e ricerca.
Optix si appoggia ai CSP più affidabili ed importanti al mondo come Amazon AWS localizzando i propri dati all’interno dell’Unione Europea (quasi sempre in Italia) per ottemperare alle normative sulla privacy vigenti.
Conclusioni
Dopo questa breve panoramica, dovrebbe essere più chiaro che forse più che essere spaventati di spostare i dati nel cloud, bisognerebbe esserlo del contrario se non si investono ingenti quantità di denaro in apparecchiature e consulenza.
Scegli di dormire sonni tranquilli passando all’unico gestionale per centri ottici in cloud: Optix. Sicurezza inclusa by design 😉